DEV Community

Cover image for COMPUTER AUDIT ROADMAP
Tincho
Tincho

Posted on

COMPUTER AUDIT ROADMAP

Para empezar esta hoja de ruta, quiero señalar que tiene como objetivo ser una guía, no pretende ser la "guía definitiva", por lo que si tiene puntos de vista diferentes o entiende que hay formas mejores de plantear la hoja de ruta, hagamelo saber en los comentarios. Aclarado esto, empecemos.

1 - ISACA

También conocida como Information Systems Audit and Control Association, o en español, Asociación de Control y Auditoría de Sistemas de Información.

ISACA es una asociación profesional internacional enfocada en el gobierno de T&I (tecnología e información). ISACA a nivel mundial engloba el ITGI (Information Technology Governance Institute) y el CMMI Institute.

Es una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información.

1.1 Estructura de ISACA

Defino la estructura de ISACA como lo que podemos aprovechar de lo que ofrece la asociación para aplicar a nuestras practicas de auditoria.

Parece mucho para estudiar 🥴 ...

Para empezar no es necesario leer todo desde mi criterio, pero conocer de forma general y saber que ese material esta disponible para cuando llegue el momento de contar con mas experiencia en el campo y profundizar algunos temas. Por eso lo que leí yo de todos esos recursos y recomiendo para empezar fue:

  • CISA: No hacer la certificación, para ello se necesita experiencia como auditor en entrenamiento en varias auditorias, sino buscar una guía de estudio sobre la certificación y leer el primer capitulo donde se puede ver panorama general y el capitulo donde se describe un proceso de auditoria.
  • IT Audit Framework (ITAF™): es un framework de practicas profesionales para auditorias de TI, donde podra encontrar estándares, lineamientos, herramientas y técnicas para orientar y asegurar la calidad del proceso de auditoria. De manera general es bueno conocer su estructura que es la siguiente:
    • Estándares, divididos en tres categorías:
      • Estándares generales (serie 1000): Los principios de orientación según los cuales operan los profesionales de auditoría y aseguramiento de SI. Se refieren a la realización de todas las asignaciones y se ocupan de la ética, independencia, objetividad, debido cuidado, conocimiento, competencia y habilidad de los profesionales de auditoría y aseguramiento de SI. Las declaraciones de los estándares (en negrita) son obligatorias.
      • Estándares de desempeño (serie 1200): Se refieren a la realización de la asignación; es decir, planificación y supervisión, alcance, riesgo e importancia, movilización de recursos, gestión de supervisión y asignaciones, evidencia de auditoría y aseguramiento, y la puesta en práctica del juicio profesional y debido cuidado.
      • Estándares de reportes (serie 1400): Se refieren a los tipos de reportes, medios de comunicación y a la información comunicada.
    • Lineamientos, que respaldan los estándares y también están divididos en tres categorías:
      • Lineamientos generales (serie 2000)
      • Lineamientos de desempeño (serie 2200)
      • Lineamientos de reportes (serie 2400)
    • Herramientas y técnicas, que brindan orientación adicional para los profesionales de auditoría y aseguramiento de SI; por ejemplo, libros blancos, programas de auditoría/aseguramiento de SI, la familia de productos de COBIT 5

2 - Estándares

El conocimiento de estándares internacionales es fundamental, pero lo es mas aun conocer primero a quienes crean tales estándares, se lista algunas organizaciones/institutos:

Y algunos de los estándares que se deben conocer:

  • ISO/IEC 27001
  • ISO/IEC 27002
  • ISO/IEC 17799
  • NIST 800-53

Top comments (0)